Aether365

Svenska

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Українська

Svenska

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Varför detta är viktigt

Om en hybridanvändare (en användare som synkroniserats från lokal Active Directory) innehar en permanent högprivilegierad roll på Microsoft 365-kontrollplanet, kan en angripare som komprometterat din lokala miljö flytta sig till molnresurser utan ytterligare autentisering. Detta kringgår dina molnsäkerhetskontroller och skapar en direkt lateral rörelseväg. Administratörer bör prioritera att ta bort dessa hybridrolltilldelningar för att upprätthålla strikt separation mellan lokala identiteter och molnidentiteter.

Vad Aether365 kontrollerar

Denna kontroll genomsöker alla Azure Active Directory-rolltilldelningar på kontrollplanet för att identifiera hybridanvändare (synkroniserade från lokalt) med en permanent högprivilegierad roll, såsom Global Administrator eller Privileged Role Administrator. Aether365 flaggar dessa som överträdelser i din Microsoft 365-säkerhetsdashboard under kontrollgruppen microsoft-365.

Så här åtgärdar du

  1. Identifiera de berörda hybridanvändarna. Leta efter användare där attributet OnPremisesSyncEnabled är True i Azure AD Admin Center eller via PowerShell.
  2. Avgör om rolltilldelningen verkligen krävs. Om användaren behöver tillfällig åtkomst, använd Azure AD Privileged Identity Management (PIM) för att bevilja tidsbegränsade, kvalificerade tilldelningar istället för permanenta.
  3. Om rollen inte är nödvändig, ta bort den permanenta tilldelningen. I Azure Portal går du till Azure Active Directory > Roles and administrators, väljer rollen och tar bort användaren.
  4. För kvarvarande permanenta rolltilldelningar på hybridanvändare skapar du ett molnbaserat konto (inte synkroniserat från lokalt) och tilldelar rollen till den molnbaserade identiteten istället.
  5. Efter att ändringar gjorts kör du Aether365-kontrollen igen för att bekräfta att inga överträdelser kvarstår.

Efterlevnad

  • Ramverk: Other
  • Allvarlighetsgrad: Medium (Aether365-betyg)
  • Relaterade standarder: Denna kontroll överensstämmer med CISA Zero Trust-principen att eliminera implicit förtroende mellan lokala miljöer och molnmiljöer. Den stöder även EIDSCA-baslinjekonfigurationer för identitetsisolering.

Relaterade resurser

Microsoft references

Var den här sidan till hjälp?

© 2026 Aether365. All rights reserved.